LSASS.exe系统进程病毒

lsass.exe是一个系统进程，用于微软Windows系统的安全机制。它用于本地安全和登陆策略。注意:lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom林.L、 Randex来自.AR、Nimos.360百科worm创建的，病毒通过软盘、群发邮件和P2P文件共享进行传播。

• 中文名称 LSASS.exe系统进程病毒
• 类型 系统病毒
• 进程文件  lsass orlsass.exe
• 出品者 Microsoft Corp.

病毒描来自述

　　英文描述: lsass.exeis a system process of the 处各测系呢离因Microsoft Windows security mechanisms. It specifically deals with local security and login policies. Note: lsass.exe also relate360百科s to the Windang.worm, irc.ratsou.b, Webus.B, MyDoom.L, Randex.AR, Nimos.worm which

　　中文描述: lsass.exe系统是微软视窗过程兵中安全机制的积极作用。它详细探讨了当地安全而且登录政策。注:lsass.exe关系着irc.ratsou.b,Webus,Windang.worm点介具引前数飞封何植。B,MyDoom。L补钢肥房、Randex。应收帐款、Nimos.worm,

　　病毒信息

　　进程文件: 硫lsass orlsass.exe

　雷都和着　进程名称: Local Security Authority Service

　　进程类别:其他进程

　　出品者:Microsoft Corp.

　　属于:Microsoft Windows Operating Syst规药志课房须em

　　系统进程:Yes

　　植灯济居束却后台程序:Yes

　　网络相关:Yes

　　常见错误:N/A

　　内存使用:N/A

　　病毒:No

LSASS.exe系统进程病毒

发现清除

　　如果你的启动菜单里有个lsass.exe启动项，那就证明你得lsass.exe木马病毒，中毒后，会在windo京胞七设ws里产生lsass.exe和exert.exe两个病毒文件，还会在D盘根目录下产生command.com和autorun.inf两个文件，同时侵入注册表破坏系统文件关联。在进程里可以见到有两个相同的进程，分别是lsass.exet和LSASS.EXE.同时在wind烟呼灯海血排茶规ows下生成LSASS.EXE和exert.exe两个可执行文件，且在后台运行。LSASS.EXE管理exe类执行文件， exert.ex先副e管理程序退出。

　　下载个进程管理器，找出问题进程副会而西哥的路径，手动终止LSASS.EXE和exert.exe两个进程(管理器不能终止LSASS.EXE,提示系统进程不能终止)，打开msconfig.exe取消LSASS.EXE启动项。删除C:\Documents 频and Settings\A银读dministrator\L负茶支到ocal Settings\tempt和Temporary Internet Files下的文件,断开网络后再删除C:\Program Files\Common Files\update文件夹，这里exe类文件已不能运行，新建一个reg文件，输入如下内容:

　　Windows Registry Editor Version 5.00

白省护杆我　　[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe]

　　@="exefile" "Content Type"="%1，%*"

　　[HKEY_LOCAL_MACHINE\SOFTWAR宗E\Classes\.议但厂断权而并序田exe\PersistentHandler]

　　@="{098f2470-bae0-11cd-b579-08002b30bfeb}"

　　或用工具恢复注册表。

　　打开IE属性删除cookies和所有脱机内容,启动进程杀手终止lsass.exe和exert.exe两个进程，然后到windows目录下删除这两个文件，这两个文件是隐藏的，再到D:删除command.com和autorun.inf 两个文件，最后重启电脑到DOS 运行，用scanreg/restore 命令来恢复注册表，(如果不会的或者是XP系统不能用的可以用瑞星注册表修复程序之类的软件修复一下注册表)，重启后进到WINDOWS桌面用杀毒软件(本人用金山毒霸2006)全面杀毒，清除余下的病毒!

清除方法

　　●打开"我的电脑"--工具--文件夹选项--查看

来自　　●把"隐藏受保护的操作系统文件(推荐)"和"隐360百科藏已知文件类型的扩展名"前面的勾去掉;

　　●勾中"显示所有文件和文件夹"

　　●用Ctrl+Alt+Del调出windows务管理器，想通过右击当前用户名的LSASS.EXE(也有可能是小写的lsass.exe，但是注意是当前用户的)来结束进程是行不通的。会弹出该进程为系统进程无法结束的提醒框;点到任务管理器进程面版，点击菜单，"查看"-"选择列"，在弹出的对话框中选择"PID(进程标识符)"，并点击"确继定"。找到映象名称为"LSASS.exe"，并且用户名不是"SYSTEM"的一项，记住其PID号。点击"开始"--运行，输入"CMD"，点击"确定"打开命令行控制台。

　　输入"ntsd –c q -p (这里填写你在任务管理器里看到的LSASS.EXE的PID列的数字，是当前用户名进程的PID，别看错了)"，比如计算机上进程PID是2264，那就输入"ntsd –c q -p 2264″。这样进程就结束了。

　　▼如果结束了又会出现，那么用下面的方法

　　进程里面有2个lsass.exe进程，一个是syste查威取角曲杀收类m的，一个是当前用户名的(该进程为病毒)。

　　用EWIDO可以直接禁止结束掉的

　　●上面主要是把进取别做也坏好元治或复程中止，接下来是删除病毒文件

　　需要删除的文件有这么一些:

　　C:/P必之管乱义余头河推些置rogram Files/Common Fi吸策les/INTEXPLORE.pif (有的没有。pif)

　　C:/Program 令振算练口富始尼操Files/Internet Explorer/INTEXPLORE.com

　　C:/WINDOWS参孩因冲/EXERT.exe

　　C:/WINDOWS/IO.SYS.BAK

　　C:/机句触WINDOWS/LSAS概农量自演村概S.exe

　　C:称艺杆基红艺仅胶/WINDOWS/Debug/DebugProgram.exe

　　C:/WINDOWS/sy画读扩如握渐余stem32/dx均南处载计亲diag.com

　　C:/WINDOWS/system32/MSCONFIG.COM

　　C:/WINDOWS/system32/regedit.com

　　●做的彻底一些，删除注册表中的其他垃圾信息，这一步工作如果你装有Free 激随临妒只脚帝长乙己练Window Re够终自富略gistry Re发些轻广什均压称钱纪pair这样的注册表清理工具的话，那就不需要手动清除了，执行Free Window Registry Repair进行清理就各可以了。下面是手动清除的需要删除的项目:

　　1、HKEY_CLASSES_ROOT/WindowFiles

　肥流将对道裂　2、HKEY_CURR意在板频别敌讨间根款ENT_USER/Software/VB and VBA Program Settings

　　3、HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main下面的 Check_Associations项

　　4、HKEY_LOCAL_MACHINE/SOFTWARE/Clients/StartMenuInternet/INTEXPLORE.pif

　　5、HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run 下面的ToP项

　　●修复注册表中被篡改的键值

　　①、将HKEY_CLASSES_ROOT/.exe的默认值修改为 "exefile"(原来是windowsfile)

　　②、将HKEY_CLASSES_ROOT/Applications/iexplore.exe/shell/open/command 的默认值修改为 "C:/Program Files/Internet Explorer/iexplore.exe" %1 (原来是intexplore.com)

　　③、将HKEY_CLASSES_ROOT/CLSID/{871C5380-42A0-1069-A2EA-08002B30309D} /shell/OpenHomePage/Command 的默认值修改为"C:/Program Files/Internet Explorer/IEXPLORE.EXE"(原来是INTEXPLORE.com)

　　④、将HKEY_CLASSES_ROOT /ftp/shell/open/command HKEY_CLASSES_ROOT/htmlfile/shell/opennew/command的默认值修改为"C:/Program Files/Internet Explorer/iexplore.exe" %1 (原来的值分别是INTEXPLORE.com和INTEXPLORE.pif)

　　⑤、将HKEY_CLASSES_ROOT /htmlfile/shell/open/command 和HKEY_CLASSES_ROOT/HTTP/shell/open/command的默认值修改为"C:/Program Files/Internet Explorer/iexplore.exe" –nohome

　　⑥、将HKEY_LOCAL_MACHINE/SOFTWARE/Clients/StartMenuInternet 的默认值修改为"IEXPLORE.EXE"。(原来是INTEXPLORE.pif)